De acordo com a AV-Comparatives, uma organização independente responsável por realizar testes em diferentes produtos antivírus, existem diferenças significativas no nível de proteção oferecido por diferentes soluções de segurança para dispositivos móveis. No entanto, mesmo as mais simples ainda são melhores do que os supostos aplicativos que se apresentam como aplicativos de segurança para mostrar publicidade aos usuários. Ao total, 35 aplicativos desse tipo foram descobertos recentemente na Google Play.
Esses aplicativos passaram despercebidos por alguns anos, com estatísticas na Google Play que indicavam um acumulado de seis milhões de download. No entanto, esses números não refletem necessariamente os downloads reais: é uma prática comum fazer downloads falsos por bots que, imediatamente depois, marcam uma classificação positiva, melhorando a avaliação geral do aplicativo.
Os 35 aplicativos foram denunciados pela ESET e, por fim, foram removidos da loja.
Imagem 1 - 35 apps suspeitos na Google Play
Além de incomodar as vítimas com publicidade, acreditar que esses aplicativos funcionam como soluções de segurança também têm sérios efeitos negativos. Ao imitar as funções básicas de segurança - na verdade, todas os apps atuam como soluções de segurança baseadas em algumas regras de código triviais -, muitas vezes, as soluções detectam aplicativos legítimos como maliciosos. Além disso, esses apps criam uma falsa sensação de segurança nas vítimas, deixando-as expostas a riscos reais de aplicativos maliciosos que não são detectados como tais.
As análises da ESET mostraram que, dos 35 aplicativos analisados, apenas alguns foram destacados pelas funções especificadas: um app não é totalmente gratuita, uma vez que oferece uma versão "melhorada", mas paga; outro aplicativo implementou um gerenciador básico de bloqueio de apps com a capacidade de desativá-lo facilmente; outro aplicativo alerta sobre outros apps (do grupo dos 35) como perigoso por padrão; e, para finalizar, foi encontrado um caso de uso indevido da marca ESET.
Imagem 2 - Um dos 35 apps detectado o outro aplicativo semelhante como uma ameaça de "alto risco"
Imagem 3 - Um dos apps identificando a si mesmo como app de "alto risco"
Imagem 4 - Um dos apps oferecendo inscrição para o "plano Pro"
Imitação da funcionalidade de segurança
Para não atrair muita atenção, todos os aplicativos que exibem publicidade tentam imitar as verdadeiras soluções de segurança para dispositivos móveis. No entanto, seus mecanismos de detecção são incompletos e/ou são extremamente básicos, o que os tornam fáceis de burlar e propensos a detectar falsos positivos.
Nossa pesquisa sobre esses aplicativos mostrou que seus "mecanismos de detecção" podem ser divididos em quatro categorias. Por sua vez, esses mecanismos são idênticos ou quase idênticos em todas as aplicações.
1) Lista em preto e branco do nome do serviço
Essa "lista branca" inclui aplicativos populares como Facebook, Instagram, LinkedIn, Skype e outros. A "lista negra" contém poucos elementos para ser considerada uma funcionalidade de segurança.
Imagem 5 – Criando uma lista branca (Whitelisting) de apps populares
2) Gerenciamento de permissões
Alertas em todos os aplicativos (incluindo os legítimos) em caso de necessidade de permissões consideradas perigosas, como envio e recebimento de SMS, acesso a dados de localização, acesso à câmera, etc.
Imagem 6 – Lista negra de permissões
3) De acordo com a fonte
Todos os aplicativos, exceto os da Google Play, são observados, mesmo que sejam completamente legítimos.
4) De acordo com a presença de atividades na lista negra
Todos os aplicativos que contêm alguma funcionalidade, como parte do aplicativo, incluídos na lista negra de atividades. Isso se refere principalmente a algumas funcionalidades de exibição de publicidade.
Fique atento a todos os aplicativos que contenham qualquer uma das atividades incluídas na lista negra, ou seja: pacotes de aplicativos que são usados em aplicativos. Esses pacotes podem lidar com funcionalidades adicionais (geralmente exibindo publicidade).
Embora não haja nada de errado com algumas das atividades da lista negra, o problema é que nesses aplicativos duvidosos a implementação dessas atividades é feita de maneira descuidada. Por exemplo, o Google Ads está incluído na lista negra, apesar de ser um serviço legítimo. E, apesar disso, esse serviço é implementado em todos os aplicativos suspeitos que analisamos.
Imagem 7 - Lista negra de atividade
“Funcionalidades" de segurança extras
Alguns aplicativos de segurança suspeitos podem proteger os apps do usuário por meio de uma senha ou padrão de desbloqueio. A ideia por trás dessa funcionalidade aparentemente útil é fornecer ao usuário uma camada adicional de segurança nos aplicativos escolhidos.
No entanto, devido a implementações inseguras, essa funcionalidade também é falha na hora de fornecer uma verdadeira segurança para o usuário.
O problema é que informações importantes não são armazenadas com segurança no dispositivo - em vez de usar criptografia, que é uma prática comum na área de cibersegurança, esses aplicativos armazenam os nomes de aplicativos e senhas bloqueados para desbloqueá-los como código simples.
Isso significa que os dados podem ser acessados quando o dispositivo está "rooteado".
Apesar de comprometer dados não criptografados ao "rootear" o telefone, existe outra alternativa para evitar o bloqueio do aplicativo. Um cibercriminoso com acesso físico ao dispositivo pode modificar a senha de bloqueio sem saber como era a senha antiga.
Imagem 8 – Função de bloqueio de um dos apps duvidosos, onde é possível visualizar o armazenamento de informações do usuário em um texto simples
Conclusão
Ter uma solução de segurança instalada em um dispositivo com o Android é definitivamente algo positivo. No entanto, nem todas as funções de "segurança" ou "antivírus" dos aplicativos cumprem com o que prometem.
Os 35 pseudo-aplicativos de segurança descritos neste artigo não representam uma ameaça, como o ransomware ou outro tipo de malware poderoso. O único dano que causam é exibir publicidade irritante, fazer detecções falsamente positivas e dar aos usuários uma falsa sensação de segurança. No entanto, esses milhões de usuários inconscientes que os baixam podem facilmente acabar baixando um malware real disfarçado de maneira semelhante.
Em vez de aplicativos suspeitos com nomes atraentes e extravagantes, e promessas com poucos fundamentos, é melhor procurar uma solução de segurança que seja mais conhecida. E qual devo escolher? Pode ser bastante útil ter em conta um teste independente realizado por uma empresa especialmente voltada para isso.
IoCs
Nome de detecção da ESET :
Android/Blacklister.A application potentially unwanted
| App Name | Package Name | Installs |
|---|---|---|
| Virus Cleaner Antivirus 2017 - Clean Virus Booster | com.sta.viruscleaner.antivirus | 1,000,000+ |
| Super Antivirus & Virus Cleaner (Applock, Cleaner) | com.superantivirus.mobilesecurity | 1,000,000+ |
| hAntivirus - Security | com.noah.antivirus | 1,000,000+ |
| Antivirus Security free | com.xplusapps.antivirus.free | 500,000+ |
| Antivirus 2018 | com.gotechgo.antivirus.mobilesecurity2018 | 500,000+ |
| Antivirus Clean | com.mobileapp.virus | 500,000+ |
| Security Antivirus 2018 | muel.security.antivirus | 500,000+ |
| Max Security - Antivirus&Booster &Cleaner | com.stranger.maxsecurity | 500,000+ |
| Antivirus Cleaner - Virus Scanner And Junk Remover | com.applock.security.viruscleaner | 100,000+ |
| Antivirus Security Free | com.rgamewall.anti2018 | 100,000+ |
| Antivirus Cleaner For Android & App Locker Pattern | com.antivirusforandroid.freeapp | 100,000+ |
| Antivirus Security | dhl.freesecure | 100,000+ |
| Smadav antivirus for android 2018 | com.smallapp.antivirus | 50,000+ |
| Antivirus Free : Process Virus | com.greenbooster.process | 50,000+ |
| TV Antivirus Free + Applock | toto.prosecurity | 50,000+ |
| Antivirus Virus Cleaner - Security Applock 2017 | com.viruscleaner.antivirus.security | 50,000+ |
| Super Security-Anti Virus, Phone Cleaner & Booster | com.supersecurity.cleaner | 10,000+ |
| Antivirus Free + Virus Cleaner + Security App | antivirus.cleaner.security.scanner | 10,000+ |
| Antivirus Pro - Virus Cleaner - Boost Mobile free | com.fantabulous.antiviruspro.viruscleaner | 10,000+ |
| Virus Clean Antivirus - Cpu Cooler & Ram Master | com.msysoft.viruscleaner.cleanvirus | 10,000+ |
| 360 Secure Antivirus | com.ufgames.antivirus | 10,000+ |
| Antivirus Cleaner Booster | com.best.apps.collection.antivirus | 10,000+ |
| Antivirus Android 2018 | com.looptoop.antivirus.android2018 | 10,000+ |
| Antivirus & Virus Remover 2018 | com.glagahstudio.viruscleaner.booster | 10,000+ |
| Antivirus Free 2018 | com.lalbazai.antivirus.mobilesecurity2018 | 5,000+ |
| Kara Security Manager Antivirus | kara.securitymanager.antivirus | 5,000+ |
| Security Antivirus 2018 | jts.security.mobile | 5,000+ |
| Antivirus & Virus Cleaner & Security | oriwa.antivirus.cleanvirus | 5,000+ |
| Master Antivirus Booster App Lock | com.boostercleaner.antivirus.mobilesecurity | 5,000+ |
| Virus Cleaner - Antivirus,Booster,Security&AppLock | com.radiantappsworld.securityantivirus | 5,000+ |
| Smart Security Antivirus & Applocker & Cleaner | org.orangina.antivirusmobilesecurity | 1,000+ |
| Antivirus 2017 & Virus Removal | com.bsm.multisecurity | 1,000+ |
| Energy Antivirus Cleaner | com.energy.antivirus.cleaner | 1,000+ |
| Antivirus Master-Applock Pro | com.octa.anti.antivirus | 500+ |
| AntiVirus Mobile Security for Android - Free | com.mobicluster.mobile.security.antivirus | 100+ |
